米下院委員会、米国土安全保障省のサイバーセキュリティに疑問視

　2006年に中国人ハッカーが米政府内部のコンピュータに攻撃を仕掛けたことを示す証拠が最近の調査で発見されたのを受け、米下院委員会は、国土安全保障省（DHS）のサイバー攻撃検知、回避能力を再度疑問視している。

　米下院国土安全保障委員会は米国時間9月24日、同委員会が最近実施した調査結果が記された書簡（PDFファイル）を公開した。同書簡によると、各地に点在する米政府本部内のネットワーク上の「多数の」コンピュータが2006年に「複数のハッカーの侵入を受けた」という。ハッカーらは侵入した際、コンピュータに悪意あるコードを仕掛け、ネットワーク管理者のパスワードを読み取ったり、侵入の足跡を隠したり、中国のウェブサイトにつながるウェブホスティングサービスに返送信したりするなどの行為を行っていた。この書簡には、同委員会の委員長を務めるBennie Thompson下院議員（ミシシッピ州選出、民主党）と、同委員会内のサイバーセキュリティ小委員会の委員長を務めるJames Langevin下院議員（ロードアイランド州選出、民主党）の2人が署名している。

　同委員会は書簡の中で、その攻撃手法は、2006年のほぼ同時期に発生した、商務省や国務省のコンピュータに対する攻撃に似ていると指摘している。

　また同委員会は、少なくとも責任の一端は、ある外部の請負業者にあるとしている。この業者は、必要な「ネットワーク侵入検知システム（IDS）」を設置しなかった上、「それらのシステムの性能上のセキュリティ格差」を隠ぺいしようとしたという。

　Washington Post紙によると、その業者である米Unisys Corp.は現在、刑事的不正行為の疑いで米連邦捜査局（FBI）の調査を受けているという。同紙は、24日付けの記事の中で、国土安全保障委員会が21日に公開した書簡の内容を最初に報じた。

　しかし、同書簡には、DHSの職員の責任についても言及されている。同委員会の指導者らは、DHS、特に同省の最高情報責任者（CIO）は、深刻なサイバー侵入を軽視しただけでなく、同委員会が報道された侵入事件に関する情報の提出を求めた際に「誤解を招く恐れのある」回答を行ったと非難した。また指導者らは、DHSの監察官を務めるRichard Skinner氏に対し、この問題について同氏が独自に調査するよう要請した。

　一方、UnisysはWashington Post紙に対し、同社は刑事捜査についてまだ何も知らされていないと語った。また同社は、適切な数のネットワーク侵入検知ツールを設置していなかったとの指摘を否定した上で、同社は、DHSが資金不足を理由に料金の支払いを停止した後も同省に監視サービスを提供し続けていると語っている。

　これに対し、DHSの関係者らはWashington Post紙に対し、今回の事件に関するUnisys側の主張は「完全に根拠を欠き、不誠実だ」とし、さらに今後同社が（DHSとの契約を）落札することはないだろうと語った。また同省は、議会の調査団に対し情報を隠すことはないとしている。DHSの広報担当者は、「（同省の職員は）過去数年間、米国政府に対する悪意あるサイバー活動を認知し、それらに対する対策を講じてきた」とコメントしている。